![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Immer wieder finden sich Apps mit Malware f\u00fcr Android im Google Play Store. Heute ein paar Infosplitter rund um das Thema: So konnte eine App mit Malware 3 Jahre unerkannt im Play Store \u00fcberleben \u2013 und manche Trojaner bereiten den Google-Sicherheitsleuten wohl Kopfschmerzen.<\/p>\n
<\/p>\n
Wer sich Apps f\u00fcr Android aus dem Google Play Store herunterl\u00e4dt, muss darauf vertrauen k\u00f6nnen, dass diese frei von Schadsoftware ist. Schlie\u00dflich war das eines der Versprechen, warum man als Nutzer auf Apps setzen soll. Schadsoftware in Android-Apps kommt \u2013 nach offizieller Lesart \u2013 immer nur \u00fcber Drittanbieter-Stores oder unbekannten Quellen. Aber auch im Google Play Store kann man sich Malware einfangen.<\/p>\n
Google reagierte wohl letzte Woche und hat eine Android App mit dem Namen \"System Update\" aus dem Store geworfen. Aber erst, nachdem die Sicherheitsfirma Zscaler \u00fcber deren Beifang berichtet hatte. Denn in der Android App \"System Update\" war eine Spyware aus der SMSVova-Familie enthalten.<\/p>\n
Die App wurde von den Entwicklern wohl 2014 im Google Play Store eingestellt und hielt sich bis 2017, als Google, aufgeschreckt durch den Zscaler-Bericht, die App aus dem Playstore gekickt hat. Bis dahin hatten sich zwischen 1 bis 5 Millionen Nutzer die App, die Verbesserungen bei speziellen Location-Features versprach, aber nur leere Screenshots in den App-Abbildungen zeigte, heruntergeladen.<\/p>\n
Die Spyware lie\u00df sich \u00fcber SMS-Nachrichten kontrollieren. Die Angreifer konnten den Standort des Nutzers abrufen und auch feststellen, wenn dieser das Kennwort f\u00fcr sein Android-Ger\u00e4t \u00e4nderte. Es k\u00f6nnte sich um eine fr\u00fche Version des DroidJack RAT (Remote Access Trojaners) handeln. Hier<\/a> bereitet ein Open Source RAT den Sicherheitsexperten wohl Kopfschmerzen. Weitere Details finden sich in diesem Bleeping Computer-Beitrag<\/a>,<\/p>\n Erg\u00e4nzung: Von Avast ist mir noch eine Einsch\u00e4tzung von\u00a0Nikolaos Chrysaidos,\u00a0Head of Mobile Threats & Security zugegangen. Bisher scheinen es die Malware-Autoren nur drauf abgesehen zu haben, dass Ads und die daraus resultierenden Einnahmen generiert werden. Er schreibt:<\/p>\n However, <\/b>there is nothing stopping the threat from becoming more sophisticated in the future. With the high amount of phones that are supposedly infected, the group behind the botnet could send commands to the infected devices, or bots, and have them download further, more malicious, modules to have them carry out DDoS attacks, for example. We have observed Firebase Cloud Messaging <\/b>being used by malware authors more and more to send commands and download modules onto infected devices.<\/span><\/i><\/p><\/blockquote>\n Er weist berechtigt darauf hin, dass \u00fcber die Kommando-Server weitere Schadfunktionen hinzugef\u00fcgt werden k\u00f6nnen, so dass die k\u00fcnftig andere Funktionen bekommt.<\/p>\n Und in diesem Artikel<\/a> (danke an Leon f\u00fcr den Tipp) berichtet Bleeping Computer \u00fcber den Kampf der Google-Sicherheitsleute gegen einen Banking-Trojaner f\u00fcr Android. Nat\u00fcrlich versucht Google das Einschleusen von Trojanern \u00fcber Apps im Google Play Store zu verhindern. Dazu werden die Apps auch gescannt, um Schadcode aufzudecken.<\/p>\n Im Januar 2017 wurde der Quellcode f\u00fcr einen unbekannten Banking-Trojaner in einem Untergrund-Forum ver\u00f6ffentlicht<\/a>. Es war nur eine Frage der Zeit, bis Varianten dieses Trojaners auftauchen w\u00fcrden. Kurz nach Ver\u00f6ffentlichung hat jemand den Quellcode wohl genutzt, um den als BankBot bezeichneten Banking-Trojaner zu entwickeln.<\/p>\n Bereits Ende Januar wurde der Trojaner benutzt, um russische Banken anzugreifen. Bereits im Februar 2017 war der Code soweit modifiziert, dass auch Banken in Gro\u00dfbritannien, \u00d6sterreich, Deutschland und in der T\u00fcrkei angegriffen werden konnten. Und die Gefahr: Laut Bleeping Computer bzw. Sicherheitsexperten hat BankerBot das Potential, die Sicherheitsmechanismen von Google zu unterlaufen. Die Malware-Autoren \u00e4ndern den Code einfach ein wenig, um die Sicherheitsscanner von Google zu unterlaufen.<\/p>\n Sicherheitsfirmen wie ESET oder Securify haben zwischenzeitlich neue Malware-Kampagnen aufgedeckt, in denen der Trojaner in diversen Varianten verwendet wird. Zwischenzeitlich werden den Leuten offiziell erscheinende Banking-Apps mit diesem Trojaner angeboten (siehe Screenshots). Wer auf so etwas hereinf\u00e4llt, gibt seine Anmeldedaten \u00fcber die App preis und muss sich nicht wundern, wenn er beim Online-Banking angegriffen wird. Weitere Details findet ihr im englischsprachigen Bleeping Computer-Beitrag.<\/p>\n An dieser Stelle mein Hinweis: Finger weg von Banking-Apps, egal ob unter Android oder Windows oder iOS \u2013 das Zeugs ist sicherheitstechnisch l\u00f6chrig wie ein Sieb und die Verwendung ist grob fahrl\u00e4ssig \u2013 egal, was die Banken euch erz\u00e4hlen. Das Thema hatte ich aber bereits mehrfach hier im Blog (siehe Linkliste).<\/p>\n <\/p>\n \u00c4hnliche Artikel:<\/strong> Immer wieder finden sich Apps mit Malware f\u00fcr Android im Google Play Store. Heute ein paar Infosplitter rund um das Thema: So konnte eine App mit Malware 3 Jahre unerkannt im Play Store \u00fcberleben \u2013 und manche Trojaner bereiten den … Weiterlesen Malware\u00a0BankBot Android Banking-Trojaner bereitet Google Kopfzerbrechen<\/h3>\n
![\"Banking-Apps\"](\"https:\/\/www.bleepstatic.com\/content\/posts\/2017\/04\/17\/BankBot-overlays.jpg\" "\\"Banking-Apps\\"")
<\/a>
\n(Quelle: Bleeping Computer)<\/p>\n
\nBanking-Trojaner in Google Play Store-Apps<\/a>
\nAndroid-Banking-Trojaner zielt auf deutsche Kunden<\/a>
\nBanking-Trojaner Retefe<\/a>
\nBanking-Trojaner-Alarm: Dreambot und Gugi<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"